تكنلوجيا اليوم
2025-09-29 16:06:00
ملخص
-
كشفت شركة الأمن Rapid7 عن ثغرة أمنية كبيرة داخل هواتف OnePlus التي قد تترك بيانات الرسائل النصية القصيرة والرسائل النصية MMS للمستخدمين المعرضة للجهات الفاعلة السيئة.
-
يبدو أن مخاطر الأمان هذه تؤثر على جميع الهواتف الأحدث التي تعمل على تشغيل Oxygenos 12 وبعد ذلك ، على الرغم من أن Rapid7 قد اختبر فقط طرز OnePlus 8T و 10 Professional 5G.
-
اعترفت OnePlus منذ ذلك الحين بالضعف ، وأكدت خططًا لطرح تصحيح برامج في الأسابيع المقبلة.
حددت شركة الأمن السيبراني RAPID7 عرضًا رئيسيًا رئيسيًا في الالتحاق بالذات الهواتف الذكية OnePlus الحديثة دعا CVE-2025-10184. يمكن أن يمكّن هذا الاستغلال الرواية ، إذا تم الاستفادة منه من قبل الجهات الفاعلة السيئة ، التطبيقات المارقة من قراءة بيانات الرسائل النصية SMS و MMS الحساسة من خدمة موفر الاتصالات في النظام – كل ذلك دون إذن من المستخدم الممنوح بشكل صريح.
من الناحية النظرية ، قد يؤثر CVE-2015-10184 OnePlus 8t و 10 Professional 5g النماذج. يبدو أن الهواتف القديمة OnePlus التي تعمل على تشغيل Oxygen 11 (استنادًا إلى Android 11) أو السابق لا تتأثر بالاستغلال.
“تنبع المشكلة من حقيقة أن مزودي المحتوى الداخلي الحساسين يمكن الوصول إليه دون إذن ، ويكونون عرضة لحقن SQL. بناءً على تحليلنا ، يمكن الاستفادة من هذه الضعف لتجاوز إذن Android READ_SMS CORPLIST للاغتصاب بصمت بيانات الرسائل القصيرة للمستخدمين دون موافقتهم على موافقة SMS ،” يكتب Rapid7 في منشور مدونة.
دون الدخول في الكثير من التفاصيل الفنية ، يبدو أن الاستغلال ينبع من التعديلات التي أجراها OnePlus إلى مشروع Android Open Source’s (AOSP’S) حزمة الاتصالات الهاتفية الأساسية مرة أخرى في Android 12 يومًا ، من أجل دمج مزودي المحتوى الإضافي في الخدمة. في حين أن الشركة نفذت أذونات القراءة المناسبة في تعديلها ، كان هناك نوع من الرقابة التي تم إجراؤها في إضافة أذونات الكتابة الفعالة.
الإصلاح الرسمي في الطريق
يعترف OnePlus بالضعف ويعمل على رقعة
في بيان المقدمة إلى 9to5Google، أكدت OnePlus أنه يدرك هذه الضعف في الرسائل النصية التي تم التقاطها حديثًا الموجودة داخل الأوكسجينو ، وأنها قد نفذت بنجاح إصلاح عمل لها. وتستمر الشركة في القول إنه سيتم إخراج التصحيح في جميع أنحاء العالم عبر تحديث برنامج عبر الهواء (OTA) “بدءًا من منتصف أكتوبر”.
إنه لأمر رائع أن نسمع أن OnePlus يعمل على توصيل هذا الضعف الأمني المحتمل عبر محفظته من الهواتف. ومع ذلك ، فإن تقارير الشركة التي تفشل في الاستجابة للتحقيق الخاص RAPID7 الأولي المتعلق بالتعرف على توصيفات Rapid7 لـ برنامج OnePlus Bug Bounty’s “اتفاقية عدم الإفصاح التقييدية” الشروط والأحكام.
في أي حال ، يكون الإصلاح في الطريق ، مما يعني أن مستخدمي OnePlus يمكنهم التنفس الصعداء. في غضون ذلك ، يوصي Rapid7 بتقليل التطبيقات غير الضرورية ، وتجنب تثبيت التطبيقات من مصادر غير معروفة ، واستخدام تطبيق مصادقة مخصص لمصادقة ثنائية العوامل (2FA) بدلاً من الاعتماد على رموز كلمة مرور SMS (OTP).
